Saat ini, masalah keamanan informasi (selanjutnya disebut keamanan informasi) perusahaan adalah salah satu masalah yang paling mendesak di dunia. Dan ini tidak mengherankan, karena di banyak negara terdapat pengetatan persyaratan bagi organisasi yang menyimpan dan memproses data pribadi. Saat ini, undang-undang Rusia mengharuskan sebagian besar aliran dokumen disimpan dalam bentuk kertas. Pada saat yang sama, tren menuju digitalisasi terlihat jelas: banyak perusahaan telah menyimpan sejumlah besar informasi rahasia baik dalam format digital maupun dalam bentuk dokumen kertas.
Menurut hasil Pusat Analisis Anti-Malware, 86% responden mencatat bahwa sepanjang tahun mereka setidaknya sekali harus menyelesaikan insiden setelah serangan dunia maya atau sebagai akibat dari pelanggaran pengguna terhadap peraturan yang ditetapkan. Berkaitan dengan hal tersebut, pengutamaan keamanan informasi dalam dunia bisnis sudah menjadi sebuah keniscayaan.
Saat ini, keamanan informasi perusahaan tidak hanya berupa seperangkat sarana teknis, seperti antivirus atau firewall, tetapi sudah merupakan pendekatan terpadu dalam menangani aset perusahaan pada umumnya dan informasi pada khususnya. Perusahaan melakukan pendekatan terhadap masalah ini secara berbeda. Hari ini kami ingin berbicara tentang penerapan standar internasional ISO 27001 sebagai solusi untuk masalah tersebut. Bagi perusahaan di pasar Rusia, kehadiran sertifikat semacam itu menyederhanakan interaksi dengan klien dan mitra asing yang memiliki persyaratan tinggi dalam hal ini. ISO 27001 banyak digunakan di Barat dan mencakup persyaratan di bidang keamanan informasi, yang harus dicakup oleh solusi teknis yang digunakan, dan juga berkontribusi pada pengembangan proses bisnis. Dengan demikian, standar ini dapat menjadi keunggulan kompetitif Anda dan titik kontak dengan perusahaan asing.
Sertifikasi Sistem Manajemen Keamanan Informasi ini (selanjutnya disebut ISMS) mengumpulkan praktik terbaik untuk merancang SMKI dan, yang penting, memberikan kemungkinan untuk memilih alat kontrol untuk memastikan berfungsinya sistem, persyaratan untuk dukungan keamanan teknologi dan bahkan untuk proses manajemen personalia di perusahaan. Bagaimanapun, kita perlu memahami bahwa kegagalan teknis hanyalah sebagian dari masalah. Dalam masalah keamanan informasi, faktor manusia memainkan peran yang sangat besar, dan jauh lebih sulit untuk menghilangkan atau meminimalkannya.
Jika perusahaan Anda ingin mendapatkan sertifikasi ISO 27001, Anda mungkin sudah mencoba mencari cara mudah untuk melakukannya. Kami harus mengecewakan Anda: tidak ada cara mudah di sini. Namun, ada beberapa langkah tertentu yang akan membantu mempersiapkan organisasi menghadapi persyaratan keamanan informasi internasional:
1. Mendapatkan dukungan dari manajemen
Anda mungkin berpikir ini sudah jelas, namun dalam praktiknya hal ini sering diabaikan. Selain itu, inilah salah satu alasan utama mengapa proyek implementasi ISO 27001 sering gagal. Tanpa memahami pentingnya proyek penerapan standar, manajemen tidak akan menyediakan sumber daya manusia atau anggaran yang cukup untuk sertifikasi.
2. Mengembangkan Rencana Persiapan Sertifikasi
Mempersiapkan sertifikasi ISO 27001 adalah tugas kompleks yang melibatkan berbagai jenis pekerjaan, memerlukan keterlibatan banyak orang, dan dapat memakan waktu berbulan-bulan (atau bahkan bertahun-tahun). Oleh karena itu, sangat penting untuk membuat rencana proyek yang terperinci: mengalokasikan sumber daya, waktu dan keterlibatan orang-orang untuk tugas-tugas yang ditentukan secara ketat dan memantau kepatuhan terhadap tenggat waktu - jika tidak, Anda mungkin tidak akan pernah menyelesaikan pekerjaan tersebut.
3. Tentukan batas sertifikasi
Jika Anda memiliki organisasi besar dengan aktivitas yang terdiversifikasi, mungkin masuk akal untuk mensertifikasi ISO 27001 hanya sebagian dari bisnis perusahaan, yang akan secara signifikan mengurangi risiko proyek Anda, serta waktu dan biayanya.
4. Mengembangkan kebijakan keamanan informasi
Salah satu dokumen terpenting adalah Kebijakan Keamanan Informasi perusahaan. Ini harus mencerminkan tujuan keamanan informasi perusahaan Anda dan prinsip dasar manajemen keamanan informasi yang harus diikuti oleh semua karyawan. Tujuan dari dokumen ini adalah untuk menentukan apa yang ingin dicapai oleh manajemen perusahaan di bidang keamanan informasi, serta bagaimana hal ini akan diterapkan dan dikendalikan.
5. Menentukan metodologi penilaian risiko
Salah satu tugas tersulit adalah menentukan aturan untuk penilaian dan manajemen risiko. Penting untuk memahami risiko mana yang dianggap dapat diterima oleh perusahaan dan risiko mana yang memerlukan tindakan segera untuk menguranginya. Tanpa aturan-aturan ini, SMKI tidak akan berfungsi.
Pada saat yang sama, perlu diingat kecukupan tindakan yang diambil untuk mengurangi risiko. Namun Anda tidak boleh terlalu terbawa suasana dengan proses pengoptimalan, karena hal ini juga memerlukan waktu atau biaya finansial yang besar atau mungkin tidak mungkin dilakukan. Kami menyarankan Anda menggunakan prinsip βkecukupan minimumβ ketika mengembangkan langkah-langkah pengurangan risiko.
6. Kelola risiko sesuai metodologi yang disetujui
Tahap selanjutnya adalah penerapan metodologi manajemen risiko secara konsisten, yaitu penilaian dan pemrosesannya. Proses ini harus dilakukan secara rutin dengan sangat hati-hati. Dengan selalu memperbarui daftar risiko keamanan informasi, Anda akan dapat mengalokasikan sumber daya perusahaan secara efektif dan mencegah insiden serius.
7. Rencanakan penanganan risiko
Risiko yang melebihi tingkat yang dapat diterima oleh perusahaan Anda harus dimasukkan dalam rencana penanganan risiko. Ini harus mencatat tindakan yang bertujuan untuk mengurangi risiko, serta orang-orang yang bertanggung jawab atas tindakan tersebut dan tenggat waktunya.
8. Lengkapi Pernyataan Penerapan
Ini adalah dokumen kunci yang akan dipelajari oleh spesialis dari lembaga sertifikasi selama audit. Ini harus menjelaskan kontrol keamanan informasi mana yang berlaku pada aktivitas perusahaan Anda.
9. Menentukan bagaimana efektivitas pengendalian keamanan informasi akan diukur.
Setiap tindakan harus mempunyai hasil yang mengarah pada terpenuhinya tujuan yang telah ditetapkan. Oleh karena itu, penting untuk mendefinisikan dengan jelas parameter apa yang akan mengukur pencapaian tujuan baik untuk keseluruhan sistem manajemen keamanan informasi maupun untuk setiap mekanisme kontrol yang dipilih dari Lampiran Penerapan.
10. Menerapkan pengendalian keamanan informasi
Dan hanya setelah menyelesaikan semua langkah sebelumnya Anda dapat mulai menerapkan kontrol keamanan informasi yang berlaku dari Lampiran Penerapan. Tantangan terbesarnya, tentu saja, adalah memperkenalkan cara yang benar-benar baru dalam melakukan berbagai hal di banyak proses organisasi Anda. Masyarakat cenderung menolak kebijakan dan prosedur baru, jadi perhatikan poin berikutnya.
11. Melaksanakan program pelatihan bagi karyawan
Semua poin yang dijelaskan di atas tidak akan ada artinya jika karyawan Anda tidak memahami pentingnya proyek dan tidak bertindak sesuai dengan kebijakan keamanan informasi. Jika Anda ingin staf Anda mematuhi semua peraturan baru, pertama-tama Anda perlu menjelaskan kepada orang-orang mengapa peraturan tersebut diperlukan, dan kemudian memberikan pelatihan tentang SMKI, dengan menyoroti semua kebijakan penting yang harus dipertimbangkan karyawan dalam pekerjaan mereka sehari-hari. Kurangnya pelatihan staf adalah alasan umum kegagalan proyek ISO 27001.
12. Menjaga proses SMKI
Pada titik ini, ISO 27001 menjadi rutinitas sehari-hari di organisasi Anda. Untuk memastikan penerapan pengendalian keamanan informasi sesuai dengan standar, auditor perlu menyediakan catatan β bukti pengoperasian pengendalian yang sebenarnya. Namun yang terpenting, catatan akan membantu Anda melacak apakah karyawan Anda (dan pemasok) menjalankan tugas mereka sesuai dengan aturan yang disetujui.
13. Pantau SMKI Anda
Apa yang terjadi dengan ISMS Anda? Berapa banyak insiden yang Anda alami, apa jenisnya? Apakah semua prosedur diikuti dengan benar? Dengan pertanyaan-pertanyaan ini, Anda harus memeriksa apakah perusahaan memenuhi tujuan keamanan informasinya. Jika tidak, Anda harus mengembangkan rencana untuk memperbaiki situasi.
14. Melakukan audit internal SMKI
Tujuan audit internal adalah untuk mengidentifikasi inkonsistensi antara proses aktual di perusahaan dan kebijakan keamanan informasi yang disetujui. Sebagian besar, ini memeriksa seberapa baik karyawan Anda mengikuti aturan. Ini adalah poin yang sangat penting, karena jika Anda tidak mengontrol pekerjaan staf Anda, organisasi dapat mengalami kerugian (baik disengaja maupun tidak disengaja). Namun tujuannya di sini bukan untuk menemukan pelakunya dan mendisiplinkan mereka karena ketidakpatuhan terhadap kebijakan, namun untuk memperbaiki situasi dan mencegah masalah di masa depan.
15. Menyelenggarakan tinjauan manajemen
Manajemen tidak boleh mengonfigurasi firewall Anda, namun mereka harus mengetahui apa yang terjadi di SMKI: misalnya, apakah setiap orang memenuhi tanggung jawabnya dan apakah SMKI mencapai hasil yang ditargetkan. Berdasarkan hal ini, manajemen harus mengambil keputusan penting untuk meningkatkan SMKI dan proses bisnis internal.
16. Memperkenalkan sistem tindakan perbaikan dan pencegahan
Seperti standar lainnya, ISO 27001 memerlukan βperbaikan berkelanjutanβ: koreksi sistematis dan pencegahan ketidakkonsistenan dalam sistem manajemen keamanan informasi. Melalui tindakan korektif dan preventif, ketidaksesuaian dapat diperbaiki dan dicegah agar tidak terulang kembali di masa mendatang.
Sebagai kesimpulan, saya ingin mengatakan bahwa sebenarnya mendapatkan sertifikasi jauh lebih sulit daripada yang dijelaskan di berbagai sumber. Hal ini ditegaskan oleh fakta bahwa di Rusia saat ini hanya ada telah disertifikasi untuk kepatuhan. Pada saat yang sama, ini adalah salah satu standar paling populer di luar negeri, yang memenuhi permintaan bisnis di bidang keamanan informasi yang terus meningkat. Tuntutan penerapan ini tidak hanya disebabkan oleh pertumbuhan dan kompleksitas jenis ancaman, namun juga karena persyaratan undang-undang, serta klien yang perlu menjaga kerahasiaan data mereka sepenuhnya.
Meskipun sertifikasi ISMS bukanlah tugas yang mudah, fakta bahwa memenuhi persyaratan standar internasional ISO/IEC 27001 dapat memberikan keunggulan kompetitif yang serius di pasar global. Kami berharap artikel kami dapat memberikan pemahaman awal tentang tahapan penting dalam mempersiapkan perusahaan untuk sertifikasi.
Sumber: www.habr.com